Chinaunix

标题: 请问下在交换机上限制ARP欺骗的问题? [打印本页]
作者: diypig    时间: 2006-03-06 22:55
标题: 请问下在交换机上限制ARP欺骗的问题?
请问下在交换机限制ARP欺骗需要3层的交换机才行吗? 请做过的朋友说说?3层的话支持哪个功能就行?2层可网管的可以限制吗?
作者: 河里的鱼    时间: 2006-03-07 10:02
只要可以ARP和ADD绑定就可以
作者: skylove    时间: 2006-03-07 10:05
arp欺骗...目前使用的比较多的是指定某个port只能认哪个mac,这样用户机器发欺骗包,switch就不认
作者: 河里的鱼    时间: 2006-03-07 10:11
原帖由 skylove 于 2006-3-7 10:05 发表
arp欺骗...目前使用的比较多的是指定某个port只能认哪个mac,这样用户机器发欺骗包,switch就不认



现在可以做到指定PORT吗?

那SW是怎么处理的?

我想即使是指定PORT,那也要找IP的,要找IP那么肯定要找二层

不知道你说的这个方法是怎么实现的?
作者: skylove    时间: 2006-03-07 10:18
接入层的switch上 1个port,一个vlan~~~
作者: platinum    时间: 2006-03-07 10:22
原帖由 skylove 于 2006-3-7 10:18 发表
接入层的switch上 1个port,一个vlan~~~

那 client 和 client 之间怎么互通啊?别告诉我通过 trunk ~~~
作者: 河里的鱼    时间: 2006-03-07 10:22
原帖由 skylove 于 2006-3-7 10:18 发表
接入层的switch上 1个port,一个vlan~~~



哈,比较费解
作者: skylove    时间: 2006-03-07 10:24
原帖由 platinum 于 2006-3-7 10:22 发表

那 client 和 client 之间怎么互通啊?别告诉我通过 trunk ~~~



说中了~~~~不互通,直接从接入层透传到核心交换机上,然后出去~~~~ 网内彼此之间不直接互通~~~~

要是能直接互通,我这么大个网,早就被用户自己招惹上的病毒/木马这些搞死掉了
作者: skylove    时间: 2006-03-07 10:26
原帖由 河里的鱼 于 2006-3-7 10:22 发表



哈,比较费解


由于是1port 1vlan,所以彼此之间是通信不能的,arp欺骗自然也无用了~~~ 直接丢到核心上走3层
作者: platinum    时间: 2006-03-07 10:28
原帖由 skylove 于 2006-3-7 10:24 发表



说中了~~~~不互通,直接从接入层透传到核心交换机上,然后出去~~~~ 网内彼此之间不直接互通~~~~

要是能直接互通,我这么大个网,早就被用户自己招惹上的病毒/木马这些搞死掉了

你知不知道,该死掉的是三层交换?
200 台机器的话,每个按 50Mbps 传输,一共总带宽需要多少? 200 * 50 = 10000Mbps,10Gbps
需要一个背板带宽至少 20Gbps 的三层交换才可以
而且,200 个 client 200 个 VLAN,三层交换需要设置 200 个 VLAN IP。。。。。
晕死
作者: 河里的鱼    时间: 2006-03-07 10:28
这样做岂不是有很大的限制?

C TO C的话,那么你每次都在开ROUTE?
作者: platinum    时间: 2006-03-07 10:30
原帖由 platinum 于 2006-3-7 10:28 发表

你知不知道,该死掉的是三层交换?
200 台机器的话,每个按 50Mbps 传输,一共总带宽需要多少? 200 * 50 = 10000Mbps,10Gbps
需要一个背板带宽至少 20Gbps 的三层交换才可以
而且,200 个 client 200 个 V ...

接着说,这样的话,网上邻居也都看不到了,大家一个个都得输入“\\IP”,累死
而且像 CS 等局域网游戏也玩不了了,这些都默认不跨路由
。。。。。

总之,abort 吧,这样设计拓扑只能说明网管人员有病
作者: skylove    时间: 2006-03-07 10:32
原帖由 河里的鱼 于 2006-3-7 10:28 发表
这样做岂不是有很大的限制?

C TO C的话,那么你每次都在开ROUTE?


是的,不过正好能解决楼主问题的啊...呵呵~~~  还有,看怎么取舍了. 因为我网内用户虽多,但是彼此用户之间互相访问的概率其实不高,都是出去的居多,因此用此方式比较合适.

而如果不怎么做c2c的大部分不是用户的应用,而是病毒/木马们的应用居多了. 而且一个arp 的欺骗用户,就可以搞到全网用户都不安宁.
作者: 河里的鱼    时间: 2006-03-07 10:33
原帖由 skylove 于 2006-3-7 10:32 发表


是的,不过正好能解决楼主问题的啊...呵呵~~~  还有,看怎么取舍了. 因为我网内用户虽多,但是彼此用户之间互相访问的概率其实不高,都是出去的居多,因此用此方式比较合适.

而如果不怎么做c2c的大部分不是用户 ...



那你不如直接改PPPOE算了,这样岂不比你现在的更好?
作者: 河里的鱼    时间: 2006-03-07 10:34
原帖由 platinum 于 2006-3-7 10:30 发表

接着说,这样的话,网上邻居也都看不到了,大家一个个都得输入“\\IP”,累死
而且像 CS 等局域网游戏也玩不了了,这些都默认不跨路由
。。。。。

总之,abort 吧,这样设计拓扑只能说明网管人员有病



呵呵,可能仅限于上网
作者: skylove    时间: 2006-03-07 10:37
原帖由 platinum 于 2006-3-7 10:30 发表

接着说,这样的话,网上邻居也都看不到了,大家一个个都得输入“\\IP”,累死
而且像 CS 等局域网游戏也玩不了了,这些都默认不跨路由
。。。。。

总之,abort 吧,这样设计拓扑只能说明网管人员有病



首先,我说一下:
1.我所知道的其他高校,至少有2所以上是采用此方式;
2.cs游戏是可以数据服务器ip进行登陆游戏的;
3.在一个2w多node的节点的网络中,输入\\ip访问是很容易的事,比记机器名容易吧?
4.如果你管理的网络中,有1/2用户是完全非it人员,那么他们感染病毒/木马的机会比你想象中更多,而内网中传播的速度也更为迅速(如果可以直接访问,那么半个小时内几k台机器中funlove 这类病毒是很容易的事)
5.不同的用户群体,不同的需求,不同的业务目的决定不同的网络结构,如果你没有从事同类的管理,即使是同为网管,工作也没有可比性.请不要擅加评论他人的工作.
作者: skylove    时间: 2006-03-07 10:38
原帖由 河里的鱼 于 2006-3-7 10:33 发表



那你不如直接改PPPOE算了,这样岂不比你现在的更好?


有的学校的确是采用pppoe,不过我们暂时没采用.
作者: platinum    时间: 2006-03-07 10:45
原帖由 skylove 于 2006-3-7 10:37 发表



首先,我说一下:
1.我所知道的其他高校,至少有2所以上是采用此方式;
2.cs游戏是可以数据服务器ip进行登陆游戏的;
3.在一个2w多node的节点的网络中,输入\\ip访问是很容易的事,比记机器名容易吧?
4.如果你 ...

1、需要很大的投资
你知不知道这样做需要多大的投资?如果信息点很多怎么办?如果三层交换坏了怎么办?

2、对于用户来说使用起来很不适应
对于非 IT 人员来说,他们恐怕更习惯点开“网上邻居”然后看到某个人的主机,双击进入,而非输入“\\IP”

3、增加维护难度
trunk 后的各个路由默认是相通的,如果网里有多个 VLAN,互相之间有访问权限高低的问题你怎么处理?
我曾经做一个项目,网里面有 13 个 VLAN IP,他们之间要两两不通,结果写了 (13*12)/2 = 78 条 ACL 才搞定
你的 VLAN IP 更多,做起来要多少条?三层交换支持多少条 ACL ?都加上以后三层交换的负载怎么样?

我感觉,钱少根本就没有可能做,如果想做,就必须往里砸钱,且聘用有相当经验的网管人员进行维护(一般的没戏)
作者: skylove    时间: 2006-03-07 11:01
回楼上的,我们这里正好是略有一些网络经费可供支配,而目前在下也正好担任网管一职.

目前我这里3层使用的是华为8系和6系,route是用的cisco的7系,现阶段正好是满足需求的.

既然各位都觉得此方案不可行,那么此问题就此搁置也罢.毕竟这个论坛是讨论unix类主机为主.此帖我不再回复了.
作者: platinum    时间: 2006-03-07 11:10
原帖由 skylove 于 2006-3-7 11:01 发表
回楼上的,我们这里正好是略有一些网络经费可供支配,而目前在下也正好担任网管一职.

目前我这里3层使用的是华为8系和6系,route是用的cisco的7系,现阶段正好是满足需求的.

既然各位都觉得此方案不可行,那么此 ...

我主要问你 VLAN 间的策略你怎么做?
如果各 VLAN 间的权限放任不管那很简单,默认就是同的
如果多个 VLAN 间有不同的访问策略,不同的权限,那怎么办?
作者: 无倦    时间: 2006-03-07 15:54
一个vlan就够了嘛,现在很多交换机都有端口隔离的技术啦,就相当于CISCO的PVLAN,一个用户一个VLAN那还得了。。。现在的小区宽带很多都是采用这种技术的啦
作者: 独孤九贱    时间: 2006-03-07 17:41
Snort中防ARP欺骗的插件写得挺好的,值得借鉴……我把它的代码提出来,稍加修改,运行得不错哈!
作者: jake8    时间: 2006-03-07 20:11
标题: 为什么?
为什么不用mac地址绑定端口,如果网络不是很大的话。。。。。
作者: diypig    时间: 2006-03-08 14:15
原帖由 jake8 于 2006-3-7 20:11 发表
为什么不用mac地址绑定端口,如果网络不是很大的话。。。。。

请问是不是关闭2层交换机的MAC地址学习功能,然后取得客户机的每个网卡的MAC地址和他接在交换机上的相应端口指定只能这个MAC可以通信?
作者: solaris_yschang    时间: 2006-03-08 14:34
实际上,有些用技术实现,有些还得靠管理员。
比如可以这样来:不投入经费得前提下,在3层做ARP绑定并且实名制上网,发现有非法操作,比如楼主得arp欺骗行为,查到该同志,取消其上网资格,哈哈,有什么难?你管不了他吃饭,管他上网还不容易??
作者: jake8    时间: 2006-03-08 23:22
标题: 回复 24楼 diypig 的帖子
恩,对,我觉得防止ARP欺骗最好是使用2层端口与mac地址绑定再加上3层的ip与mac绑定就完美了,我以前在大二的时候帮学校搞过,以前学校只是简单的ip与mac绑定,有点能力的,都知道通过修改mac地址来骗过,结果整个学校变成arp欺骗大战,经常ip冲突。。。还有就是asp -s后win还是会被更新mac地址缓存的,linux就没这个毛病,而且linux/unix还有个ifconfig eth0 -arp 来禁止接收arp包。。。win就只能写个程序来解决了。
作者: qmailer    时间: 2006-03-09 00:49
arp的欺骗真的这么猖獗!?
作者: zenith    时间: 2006-03-09 09:46
呵呵呵,用交换机作DHCP+ip snoop+mac绑定,应该可以吧。
作者: 河里的鱼    时间: 2006-03-09 10:00
原帖由 jake8 于 2006-3-8 23:22 发表
恩,对,我觉得防止ARP欺骗最好是使用2层端口与mac地址绑定再加上3层的ip与mac绑定就完美了,我以前在大二的时候帮学校搞过,以前学校只是简单的ip与mac绑定,有点能力的,都知道通过修改mac地址来骗过,结果整 ...



请问:SW上绑定了MAC,你自己修改了MAC还能通过SW吗?
作者: jake8    时间: 2006-03-09 15:58
标题: 回复 29楼 河里的鱼 的帖子
如果sw只是ip+mac地址绑定的话,你把自己的mac地址和ip 改成其他合法的mac地址和ip就可以冒充他人了,当然可以先使用arp欺骗把目标废了,自己就可以变成他了,如果是每个端口绑定个合法mac地址表,你自己改了mac地址,包都出不去的.....arp欺骗就没用了...
-------------------------------------------------------
今天广州的天气不错啊,很sunshine啊,终于有点夏天的感觉了,喜欢夏天.........天气不错,心情也不错.....
作者: 河里的鱼    时间: 2006-03-09 18:04
原帖由 jake8 于 2006-3-9 15:58 发表
如果sw只是ip+mac地址绑定的话,你把自己的mac地址和ip 改成其他合法的mac地址和ip就可以冒充他人了,当然可以先使用arp欺骗把目标废了,自己就可以变成他了,如果是每个端口绑定个合法mac地址表,你自己改了mac地址,包 ...


sorry,没有看清你的前面的意思

呵呵

[ 本帖最后由 河里的鱼 于 2006-3-9 18:06 编辑 ]
作者: connet    时间: 2006-03-09 19:02
标题: 哪有那么复杂?
真正的交换机都是端口隔离的,否则就是hub,不叫switch , 管理员。只需要把端口与 mac 邦定就可以避免arp 欺骗 , 欺骗的数据报由于mac 地址不匹配被丢掉。
所谓的vlan , 与arp 欺骗根本没关系。

[ 本帖最后由 connet 于 2006-3-9 19:03 编辑 ]
作者: bati    时间: 2006-03-10 01:26
标题: 回复 8楼 skylove 的帖子
胆儿真大
作者: depthblue_xsc    时间: 2006-03-10 11:28
原帖由 无倦 于 2006-3-7 15:54 发表
一个vlan就够了嘛,现在很多交换机都有端口隔离的技术啦,就相当于CISCO的PVLAN,一个用户一个VLAN那还得了。。。现在的小区宽带很多都是采用这种技术的啦

用pvlan很适合,很多小区,很多的idc等等
作者: luocy2008    时间: 2006-03-20 14:39
原帖由 connet 于 2006-3-9 19:02 发表
真正的交换机都是端口隔离的,否则就是hub,不叫switch , 管理员。只需要把端口与 mac 邦定就可以避免arp 欺骗 , 欺骗的数据报由于mac 地址不匹配被丢掉。
所谓的vlan , 与arp 欺骗根本没关系。


right



欢迎光临 Chinaunix (http://bbs.chinaunix.net/) Powered by Discuz! X3.2